관리자 페이지-계정, 주로 많이 쓰는 이름 사용...위험

국가사이버안전센터는 ○○초등학교 사이버 강의 서버(cyber.○○es.kr)가 브라질 해커그룹 ‘h4ck3rsbr┖에 의해 변조된 것을 확인하고 사고조사를 실시한 바 있다.

조사결과 피해 시스템의 관리자 페이지 및 관리자 계정이 일반적으로 많이 사용되는 페이지 명(admin)과 기본 계정(admin)으로 설정되어 있었고, 패스워드 설정 또한 취약한 것으로 드러났다. 이에 해커는 홈페이지 패스워드 크랙도구를 이용해 크랙에 성공한 후 정상적인 관리자 로그인 인증과정을 받아 공지사항에 임의의 문구를 삽입해 홈페이지를 변조한 것으로 확인됐다.

센터 관계자는 “웹 관리자 페이지의 URL(피해 시스템/ admin)이 일반적으로 추측이 가능해 해커가 쉽게 관리자 페이지를 유추할 수 있었다”고 말했다.

또한, 그는 “웹 관리자 계정이 일반적으로 많이 사용하는 ┖admin┖으로 설정되어 있었고 패스워드는 단순 숫자조합만으로 구성되어 있었다. 이에 해커는 웹 관리자 계정명으로 자주 사용하는 ‘admin┖ ┖administrator┖ ┖manager┖ 등의 계정에 대한 패스워드 크랙 시도를 통해 해당 서버에 대한 계정과 패스워드 정보를 획득했을 것”이라고 추정했다.

 

센터 관계자는 홈페이지 패스워드 크랙도구인 xxxhack을 이용해 테스트해본 결과 쉽게 관리자 계정과 패스워드 정보를 확인할 수 있었다고 한다.

 

 

또, 관리자 계정과 패스워드 크랙에 성공한 해커는 이후 웹 관리자 로그인 페이지로 접근해 정상적으로 인증과정을 받은 후 공지사항에 임의의 문구를 삽입함으로써 홈페이지를 변조하였는데 IIS 웹 로그를 통해 관련 사항을 확인할 수 있었다고 설명했다. 

국정원 관계자는 “이번 공격에 이용된 취약점은 관리자 페이지가 유추하기 쉬운 URL로 설정되어 있었고 관리자의 계정으로 많이 사용하는 ┖admin┖을 이용하고 있었으며, 단순 숫자 조합만으로 이루어진 패스워드를 사용하고 있었다. 따라서 이에 대응해야 재해킹을 당하지 않는다”고 조언했다.

우선, 관리자 인증 페이지를 유추 어려운 이름으로 변경해야 한다. 주로 사용하는 이름과 추측이 쉬운 디렉토리 명, 파일명 등은 사용하면 안된다.

또, 관리자 페이지에 대해 IP 레벨로 접근권한을 설정해야 한다. 방법은 다음과 같다.

①[설정]-[제어판]-[관리도구]-[인터넷서비스 관리자] 선택

②해당 관리자 페이지 폴더에 오른쪽 버튼을 클릭하고 [등록정보]-[디렉토리 보안]-[IP 주소 및 도메인 이름 제한]-[편집] 버튼 클릭

③액세스 거부를 선택하고 추가 버튼을 클릭해 관리자 호스트IP 또는 서브넷을 등록하면 된다.

마지막으로 웹 관리자의 계정을 기본 계정명으로 많이 사용하는 admin이 아닌 다른 이름으로 변경하도록 하며, 패스워드 설정 또한 숫자, 문자, 특수문자를 조합하여 8자리 이상으로 설정하도록 한다.

센터 관계자는 “확인결과 대구 지역의 초ㆍ중ㆍ고등학교에서도 사이버 강의용 웹 서버로 ○○웹 어플리케이션을 많이 이용하고 있었는데, 이를 이용해 대부분의 학교들은 이번 사고와 동일한 웹 취약점이 존재할 것으로 판단된다”고 밝혔다.

국정원 국가사이버안전센터는 “○○웹 어플리케이션을 제공한 해당 회사에 학교 홈페이지의 관리자 계정과 패스워드를 변경토록 조치했다”며, “이러한 사고를 방지하기 위해서는 서버 관리자들의 기본적인 보안설정에 관심이 무엇보다 필요하다. 국가사이버안전센터 홈페이지(www.ncsc.go.kr) 하단 ┖발간자료실┖에서 ‘홈페이지 보안관리 매뉴얼’을 참고하기 바란다”고 덧붙였다.

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>